إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
يتيح لك اكتشاف الجهاز تحسين الرؤية في الأجهزة غير المدارة، وتقييم وضعها الأمني، واتخاذ الإجراءات المناسبة لتأمينها.
توضح هذه المقالة كيفية مراجعة وتقييم الأجهزة التي اكتشفها اكتشاف الجهاز في Microsoft Defender لنقطة النهاية. يمكنك أيضا معرفة كيفية الحصول على البيانات على الأجهزة غير المإلحاقة Microsoft Defender لنقطة النهاية، وكيفية الاستعلام عن البيانات على الأجهزة المكتشفة.
المتطلبات الأساسية
أنظمة التشغيل المدعومة
- Windows 10 والإصدارات الأحدث
- Windows Server 2019 والإصدارات الأحدث.
مراقبة الأجهزة غير المإلحاقة في مخزون الجهاز
يمكنك مراجعة مخزون الجهاز للأجهزة المكتشفة التي لم يتم إلحاقها ب Defender لنقطة النهاية.
ملاحظة
يظل الجهاز غير المضمن في مدخل Defender (لأكثر من 180 يوما)، إذا تم استيفاء أحد هذه الشروط:
- يتم اكتشاف الجهاز بواسطة نقطة نهاية مدمجة على نفس الشبكة
- يتم اكتشاف الجهاز بواسطة مستشعر OT
لتقييم هذه الأجهزة، انتقل إلى مخزون الجهاز، واستخدم عامل تصفية حالة الإعداد ، مع إحدى القيم التالية:
| قيمه | الوصف |
|---|---|
| تم الإلحاق | يتم إلحاق نقطة النهاية ب Defender لنقطة النهاية. |
| يمكن إلحاقه | يكتشف Defender لنقطة النهاية الجهاز في الشبكة ويدعم نظام التشغيل الخاص به، ولكن الجهاز غير مدمج. ملاحظة: - نوصي بشدة بإلحاق مثل هذه الأجهزة. - قد تلاحظ أن الاختلافات بين عدد الأجهزة المدرجة ضمن يمكن إلحاقها في مخزون الجهاز، والإلحاق Microsoft Defender لنقطة النهاية توصية الأمان، والأجهزة إلى عنصر واجهة مستخدم لوحة المعلومات على متن الطائرة. توصية الأمان وأداة لوحة المعلومات مخصصة للأجهزة المستقرة في الشبكة، باستثناء الأجهزة سريعة الزوال وأجهزة الضيوف وغيرها. الفكرة هي التوصية على الأجهزة الثابتة التي تؤثر أيضا على درجة الأمان الإجمالية للمؤسسة. |
| معتمد | يكتشف Defender لنقطة النهاية نقطة النهاية، ولكنه لا يدعم الجهاز. |
| معلومات غير كافية | تعذر على النظام تحديد إمكانية دعم الجهاز. تمكين الاكتشاف القياسي على المزيد من الأجهزة في الشبكة لإثراء السمات المكتشفة. |
إلحاق الأجهزة غير المدارة
يمكنك إلحاق الأجهزة غير المدارة يدويا. تقدم نقاط النهاية غير المدارة في شبكتك ثغرات أمنية ومخاطر على شبكتك. يمكن أن يؤدي إلحاقها بالخدمة إلى زيادة رؤية الأمان عليها.
استخدام التتبع المتقدم على الأجهزة المكتشفة
يمكنك استخدام استعلامات التتبع المتقدمة للحصول على رؤية على الأجهزة المكتشفة. ابحث عن تفاصيل حول الأجهزة المكتشفة في جدول DeviceInfo أو المعلومات المتعلقة بالشبكة حول هذه الأجهزة في جدول DeviceNetworkInfo.
تلميح
يمكنك أيضا استخدام عمود حالة الإلحاق في استعلامات واجهة برمجة التطبيقات لتصفية الأجهزة غير المدارة.
استكشاف الأجهزة في الشبكة
يمكنك استخدام استعلام التتبع المتقدم التالي للحصول على مزيد من السياق حول كل اسم شبكة موصوف في قائمة الشبكات. يسرد الاستعلام جميع الأجهزة المضمنة التي تم توصيلها بشبكة معينة خلال الأيام السبعة الماضية.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
الحصول على معلومات على الجهاز
يمكنك استخدام استعلام التتبع المتقدم التالي للحصول على أحدث المعلومات الكاملة على جهاز معين.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
تفاصيل الأجهزة المكتشفة للاستعلام
قم بتشغيل هذا الاستعلام على جدول DeviceInfo لإرجاع جميع الأجهزة المكتشفة مع أحدث التفاصيل لكل جهاز:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
من خلال استدعاء الدالة SeenBy ، في استعلام التتبع المتقدم، يمكنك الحصول على تفاصيل حول الجهاز الذي تم إلحاقه بجهاز تم اكتشافه من قبل. يمكن أن تساعد هذه المعلومات في تحديد موقع الشبكة لكل جهاز تم اكتشافه، وبالتالي المساعدة في تحديده في الشبكة.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
لمزيد من المعلومات، راجع الدالة SeeBy().
الاستعلام عن المعلومات المتعلقة بالشبكة
يستفيد اكتشاف الجهاز من Defender للأجهزة المإلحاقة بنقطة النهاية كمصدر بيانات شبكة لإسناد الأنشطة إلى الأجهزة غير المإلحاقة. يحدد مستشعر الشبكة على جهاز Defender for Endpoint المدمج نوعين جديدين من الاتصال:
- ConnectionAttempt - محاولة لإنشاء اتصال TCP (syn)
- ConnectionAcknowledged - إقرار بقبول اتصال TCP (syn\ack)
وهذا يعني أنه عندما يحاول جهاز غير مدمج الاتصال بجهاز Defender لنقطة النهاية المإلحاق، فإن المحاولة تنشئ DeviceNetworkEvent ويمكن رؤية أنشطة الجهاز غير المإلحاقة على المخطط الزمني للجهاز المإلحاق، ومن خلال جدول DeviceNetworkEvents للتتبع المتقدم.
يمكنك تجربة هذا الاستعلام المثال:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
تقييم الثغرات الأمنية على الأجهزة المكتشفة
يكتشف إدارة الثغرات الأمنية في Microsoft Defender المخاطر على أجهزتك والأجهزة الأخرى المكتشفة وغير المدارة في الشبكة.
لمراجعة الثغرات الأمنية ذات الصلة، راجع صفحةتوصياتإدارة> التعرض وصفحات الكيان الأخرى عبر مدخل Defender.
على سبيل المثال، ابحث عن SSH في قائمة توصيات الأمان للعثور على ثغرات SSH المتعلقة بالأجهزة غير المدارة والمدارة.
لمزيد من المعلومات حول ميزات إدارة الثغرات الأمنية، راجع إدارة الثغرات الأمنية في Microsoft Defender.